resycled/boot.com Fehlermeldung. erste Schritte eingeleitet, komme nicht weiter

surfmaxx · 06.12.2008, 13:34

Eine herzliches Hallo in die Runde. Ich habe hier schon viel gelesen aber nun komme ich nicht weiter.

Mein System:
Win XP SP2 /Mozilla/Antivier/Router mit Firewall/Zwei getrennte Festplatten C+D

Ich möchte einfach wissen ob meine Trojanerjagt erfolgreich war. Gemacht wurde folgendes nachdem antivir Alarm schlug und sich die Festplatten vom Arbeitsplatz aus nur noch mit der Fehlermeldung< "resycled/boot.com kann nicht gefunden werden> öffnen ließen.

-Automatische Wiederherstellung aus
-Ansicht auf alle Dateien an
-Malwarebytes duchgeführt (Log siehe unten)
-im gesicherten Modus SmitfraudFix durchgeführt (Log habe ich leider nicht mehr es wurde aber eine autorun.inf und ne boot.com entfernt)

Ergebnis: Antivir schlägt nicht mehr Alarm und Malwarebytes kann auch nichts mehr finden. Auf C: kann ich wieder über den Arbeitsplatz zugreifen.

Mein Problem: Wenn ich auf vom Arbeitsplatz auf D zugreifen möchte kommt immer noch der gleiche Fehler <resycled/boot.com kann nicht geöffnet werden>

Wie kann ich das wieder ändern?

Die Suche ergab das es auf meinem Rechner sowohl auf C und D keinen autorun.inf, keine boot.com und auch keinen Ordner resycled mehr gibt.

Habe ich jetzt noch nen Schädling drauf?

Hier der Logfile von Malwarebytes:

Zitat:

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 135921
Laufzeit: 2 hour(s), 21 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und hier von HijackThis:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:04:48, on 06.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\EOServer\eoserver.exe
C:\Programme\EOServer2\eoserver.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\LckFldService.exe
C:\MySQL\bin\mysqld-max-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MICROS~3\Office10\OUTLOOK.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [TrayBackup] "C:\Programme\TrayBackup\traybackup.exe" /AUTO
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2593264761-3509851319-189007414-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DigiProtect 0900 Server.lnk = C:\Programme\DigiProtect\DigiProtect 0900 Server\Bdvr.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{90E1C8C6-3F2F-4BAD-BBF2-DE1600232339}: NameServer = 62.72.64.237,62.72.64.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{90E1C8C6-3F2F-4BAD-BBF2-DE1600232339}: NameServer = 62.72.64.237,62.72.64.241
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Eye-Office Server - Unknown owner - C:\Programme\EOServer\eoserver.exe
O23 - Service: Eye-Office Server 2.0 - Unknown owner - C:\Programme\EOServer2\eoserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: MySQL - Unknown owner - C:\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe

--
End of file - 6512 bytes

Findet ihr dort irgendetwas auffälliges?

Danke euch Gruß Oli

starfish02 · 06.12.2008, 23:34

such mal nach combofix und las es drüberlaufen, hat bei mir 1 a geholfen. danach

bitte folgende einträge fixen:
C:\Programme\EOServer\eoserver.exe
C:\Programme\EOServer2\eoserver.exe

falls du sie nicht kennst.

führst du absichtlich den mysql server aus?

wenn nicht:

C:\MySQL\bin\mysqld-max-nt.exe

fixen.

Unbekannt
O4 - Startup: DigiProtect 0900 Server.lnk = C:\Programme\DigiProtect\DigiProtect 0900 Server\Bdvr.exe
würde ich auch fixen wenn du es nicht kennst.

surfmaxx · 08.12.2008, 10:47

Hallo starfish,

Eye-office und Digiprotect sind bekannt, die mysql-Datenbank muss laufen.

Hier mal der Log von combofix (Die *** sind von mir geändert worden ;-)):
Da hat sich doch wirklich nochne autorun versteckt.....

Code:

ATTFilter

ComboFix 08-12-06.06 - ********* 2008-12-08  9:27:51.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.498 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\*******\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\icon.ico
c:\windows\system32\KM4.DLL
D:\Autorun.inf
D:\resycled

.
(((((((((((((((((((((((   Dateien erstellt von 2008-11-08 bis 2008-12-08  ))))))))))))))))))))))))))))))
.

2008-12-06 09:33 . 2008-12-06 09:33	<DIR>	d--------	c:\programme\Avira
2008-12-06 09:33 . 2008-12-06 09:33	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-06 09:26 . 2008-12-06 09:33	<DIR>	d--------	c:\programme\AVPersonal
2008-12-05 11:33 . 2008-12-06 09:03	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-05 10:16 . 2008-12-05 10:16	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-05 10:16 . 2008-12-05 10:16	<DIR>	d--------	c:\dokumente und einstellungen\*********\Anwendungsdaten\Malwarebytes
2008-12-05 10:16 . 2008-12-05 10:16	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-05 10:16 . 2008-12-03 19:52	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-05 10:16 . 2008-12-03 19:52	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-12-05 09:50 . 2008-12-05 12:35	1,742	--a------	c:\windows\system32\tmp.reg
2008-12-05 09:49 . 2007-09-05 23:22	289,144	--a------	c:\windows\system32\VCCLSID.exe
2008-12-05 09:49 . 2006-04-27 16:49	288,417	--a------	c:\windows\system32\SrchSTS.exe
2008-12-05 09:49 . 2008-10-01 14:51	87,552	--a------	c:\windows\system32\VACFix.exe
2008-12-05 09:49 . 2008-11-29 17:58	82,944	--a------	c:\windows\system32\o4Patch.exe
2008-12-05 09:49 . 2008-05-18 20:40	82,944	--a------	c:\windows\system32\IEDFix.exe
2008-12-05 09:49 . 2008-11-29 17:58	82,944	--a------	c:\windows\system32\IEDFix.C.exe
2008-12-05 09:49 . 2008-08-18 11:19	82,432	--a------	c:\windows\system32\404Fix.exe
2008-12-05 09:49 . 2003-06-05 20:13	53,248	--a------	c:\windows\system32\Process.exe
2008-12-05 09:49 . 2004-07-31 17:50	51,200	--a------	c:\windows\system32\dumphive.exe
2008-12-05 09:49 . 2007-10-03 23:36	25,600	--a------	c:\windows\system32\WS2Fix.exe
2008-11-28 02:01 . 2008-11-28 02:01	<DIR>	dr-------	C:\dateien von ******
2008-11-28 01:55 . 2008-11-28 01:55	<DIR>	d--h-----	C:\$AVG8.VAULT$
2008-11-27 21:20 . 2008-11-27 21:20	<DIR>	d--------	c:\programme\Trend Micro
2008-11-27 13:52 . 2008-06-19 17:24	28,544	--a------	c:\windows\system32\drivers\pavboot.sys
2008-11-27 13:51 . 2008-11-27 13:51	<DIR>	d--------	c:\programme\Panda Security
2008-11-27 10:56 . 2008-12-06 09:13	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-11-26 09:24 . 2008-11-26 09:24	410,976	--a------	c:\windows\system32\deploytk.dll
2008-11-24 18:49 . 2008-11-24 18:49	27,904	--a------	c:\windows\system32\drivers\ndisprot.sys
2008-11-19 10:12 . 2008-11-19 10:12	<DIR>	d--------	c:\programme\Procornea Nederland B.V
2008-11-19 10:12 . 2008-11-19 16:03	1,570	--a------	c:\windows\orb.ini
2008-11-19 10:07 . 1999-03-23 09:12	299,520	--a------	c:\windows\uninst.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-08 08:02	16,896	----a-w	c:\windows\system32\KMSYUV.DLL
2008-12-06 08:25	107,132	----a-w	c:\windows\UninstallFirefox.exe
2008-12-06 08:16	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-12-06 08:16	---------	d-----w	c:\programme\Corel
2008-12-05 11:18	---------	d-----w	c:\programme\StarMoney 6.0
2008-12-05 11:12	---------	d-----w	c:\programme\BearShare
2008-11-26 08:24	---------	d-----w	c:\programme\Java
2008-11-08 12:58	---------	d-----w	c:\programme\Biet-O-Matic
2008-10-29 14:50	92,064	----a-w	c:\dokumente und einstellungen\*********\mqdmmdm.sys
2008-10-29 14:50	9,232	----a-w	c:\dokumente und einstellungen\*********\mqdmmdfl.sys
2008-10-29 14:50	79,328	----a-w	c:\dokumente und einstellungen\*********\mqdmserd.sys
2008-10-29 14:50	66,656	----a-w	c:\dokumente und einstellungen\*********\mqdmbus.sys
2008-10-29 14:50	6,208	----a-w	c:\dokumente und einstellungen\*********\mqdmcmnt.sys
2008-10-29 14:50	5,936	----a-w	c:\dokumente und einstellungen\*********\mqdmwhnt.sys
2008-10-29 14:50	4,048	----a-w	c:\dokumente und einstellungen\*********\mqdmcr.sys
2008-10-29 14:50	25,600	----a-w	c:\dokumente und einstellungen\*********\usbsermptxp.sys
2008-10-29 14:50	22,768	----a-w	c:\dokumente und einstellungen\*********\usbsermpt.sys
2008-10-29 14:50	---------	d-----w	c:\programme\Motorola Phone Tools
2008-10-29 14:45	---------	d-----w	c:\programme\Avanquest update
2008-10-29 14:45	---------	d-----w	c:\dokumente und einstellungen\*********\Anwendungsdaten\InstallShield
2008-10-29 14:25	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-10-18 11:47	---------	d-----w	c:\programme\TrayBackup
2007-04-20 13:09	40,968	----a-w	c:\dokumente und einstellungen\*********\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-06-20 16:51	397,312	----a-w	c:\dokumente und einstellungen\*********\jogl.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrayBackup"="c:\programme\TrayBackup\traybackup.exe" [2006-02-07 316416]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-09 401491]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\*********\Startmen\Programme\Autostart\
DigiProtect 0900 Server.lnk - c:\programme\DigiProtect\DigiProtect 0900 Server\Bdvr.exe [2006-04-19 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yuy2"= kmsyuv.dll
"vidc.divx"= KM4.dll
"vidc.MPG4"= MPG4C32DF.dll
"vidc.MP42"= MPG4C32DF.dll
"vidc.MP43"= MPG4C32DF.dll
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2006-01-24 19:23 7094272 c:\programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\DigiProtect\\DigiProtect 0900 Server\\Bdvr.exe"=
"c:\\Programme\\DigiProtect\\DigiProtect 0900 Server\\WebServer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2000:TCP"= 2000:TCP:Client
"2001:TCP"= 2001:TCP:IPRegister
"80:TCP"= 80:TCP:Web

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-11-27 28544]
R2 Eye-Office Server 2.0;Eye-Office Server 2.0;c:\programme\EOServer2\eoserver.exe [2008-07-30 114688]
R2 Eye-Office Server;Eye-Office Server;c:\programme\EOServer\eoserver.exe [2006-05-16 2064384]
R2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N "pgsql-8.3" -D "c:\programme\PostgreSQL\8.3\data\" []
R3 NanoBt;NanoBt Device Driver;c:\windows\system32\Drivers\NanoBt.sys [2006-04-12 47480]
S3 Ndisprot;ArcNet NDIS Protocol Driver;\??\c:\windows\system32\drivers\Ndisprot.sys [2008-11-24 27904]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
\Shell\Open\command - resycled\boot.com d:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d574ffe4-c8b9-11db-8c02-00167615ea6b}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com j:
\Shell\Open\command - j:\resycled\boot.com j:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da7f8848-497c-11db-8b5d-00167615ea6b}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com f:
\Shell\Open\command - f:\resycled\boot.com f:

*Newly Created Service* - PROCEXP90
*Newly Created Service* - SSMDRV
.
Inhalt des "geplante Tasks" Ordners

2008-12-06 c:\windows\Tasks\Eye-Office Backup.job
- d:\eye-office\backup.bat [2008-08-13 09:02]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: Convert link target to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
TCP: {90E1C8C6-3F2F-4BAD-BBF2-DE1600232339} = 62.72.64.237,62.72.64.241
WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\programme\Microsoft ActiveSync\cenetflt.dll
WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\programme\Microsoft ActiveSync\cenetflt.dll
WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\programme\Microsoft ActiveSync\cenetflt.dll
WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\programme\Microsoft ActiveSync\cenetflt.dll
WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\programme\Microsoft ActiveSync\cenetflt.dll
WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\programme\Microsoft ActiveSync\cenetflt.dll
FireFox -: Profile - c:\dokumente und einstellungen\*********\Anwendungsdaten\Mozilla\Firefox\Profiles\uc1ezntu.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 09:30:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySQL]
"ImagePath"="c:\mysql\bin\mysqld-max-nt MySQL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(660)
c:\windows\system32\KGINA.dll
.
Zeit der Fertigstellung: 2008-12-08  9:32:25
ComboFix-quarantined-files.txt  2008-12-08 08:31:11

Vor Suchlauf: 25 Verzeichnis(se), 53.314.424.832 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 53,315,817,472 Bytes frei

177

resycled/boot.com Fehlermeldung. erste Schritte eingeleitet, komme nicht weiter

Plagegeister aller Art und deren Bekämpfung: resycled/boot.com Fehlermeldung. erste Schritte eingeleitet, komme nicht weiter